使用EKS 存取 Amazon AWS PrivateLink - Amazon EKS
Amazon EKS 的考量事項建立 Amazon EKS 的介面端點

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用EKS 存取 Amazon AWS PrivateLink

您可以使用 AWS PrivateLink 在 VPC 和 Amazon Elastic Kubernetes Service 之間建立私有連線。您可以像在 EKS 中一樣存取 Amazon VPC,而無需使用網際網路閘道、NAT 裝置、VPN 連線或 AWS Direct Connect 連線。您 VPC 中的執行個體不需要公有 IP 地址即可存取 Amazon EKS。

您可以透過建立由 AWS PrivateLink 支援的介面端點來建立此私有連線。我們會在您為介面端點啟用的每個子網中建立端點網路介面。這些是請求者管理的網路介面,可做為目的地為 Amazon EKS 的流量進入點。

如需詳細資訊,請參閱 AWS PrivateLink 指南中的透過 Word 存取 AWS 服務 AWS PrivateLink

Amazon EKS 的考量事項

  • 在您設定 Amazon EKS 的介面端點之前,請先檢閱 AWS PrivateLink 指南中的考量事項

  • Amazon EKS 支援透過介面端點呼叫其所有 API 動作,但不支援呼叫 Kubernetes APIs。所以此 Kubernetes API 伺服器已支援私有端點。所以此 Kubernetes API 伺服器私有端點會為 建立私有端點 Kubernetes 用來與叢集通訊的 API 伺服器 (使用 Kubernetes 管理工具,例如 kubectl)。您可以啟用 的私有存取 Kubernetes API 伺服器,以便節點與 API 伺服器之間的所有通訊都保留在您的 VPC. AWS PrivateLink for the Amazon EKS 中,API協助您APIs從 VPC 呼叫 Amazon EKS,而不會將流量暴露至公有網際網路。

  • 您無法將 Amazon EKS 設定為只能透過介面端點存取。

  • for AWS PrivateLink 的標準定價適用於 Amazon EKS 的介面端點。對於在每個可用區域中佈建的介面端點,以及透過介面端點處理的資料,都會按每小時向您收費。如需詳細資訊,請參閱 AWS PrivateLink 定價

  • Amazon VPC 不支援 EKS 端點政策。根據預設,允許透過介面端點完整存取 Amazon EKS。或者,您可以將安全群組與端點網路介面建立關聯,以透過介面端點控制 Amazon EKS 的流量。

  • 您可以使用 VPC 流量日誌來擷取進出網路介面的 IP 流量相關資訊,包括介面端點。您可以將流程日誌資料發佈至 Amazon CloudWatch 或 Amazon S3。如需詳細資訊,請參閱 Amazon VPC 使用者指南中的使用 Word Flow Logs 記錄 IP 流量。 VPC

  • 您可以將 Amazon EKS APIs 從內部部署資料中心存取,方法是將其連接至具有介面端點的 VPC。您可以使用 AWS Direct Connect 或 AWS Site-to-Site VPN Word將內部部署網站連線到 VPC。

  • 您可以使用 AWS Transit Gateway 或 VPCs 對等,VPC透過介面端點將其他 Word 連接至 VPC。VPC對等是兩個 VPCs 之間的網路連線。您可以在 VPC 之間建立 VPCs 對等互連,也可以與其他帳戶中的 VPC 建立對等互連。該 VPCs 可以位於不同的 AWS 區域。對等 VPCs 之間的流量會保留在 AWS 網路上。流量不會周遊公有網際網路。Transit Gateway 是可用來互連 VPCs 的網路傳輸中樞。VPC 與 Transit Gateway 之間的流量會保留在 AWS 全域私有網路上。流量不會暴露到公有網際網路。

  • 在 2024 年 8 月之前,Amazon EKS 的 VPC 介面端點只能IPv4透過 存取eks.region.amazonaws.com。在 2024 年 8 月之後建立的新 VPC 介面端點會使用 IPv4IPv6 IP 地址的雙堆疊,以及 DNS 名稱: eks.region.amazonaws.com.rproxy.goskope.comeks.region.api.aws

  • 亞太區域 (馬來西亞) AWS Region API不提供 EKS 的 AWS PrivateLink AWS PrivateLink 支援。亞太區域 (馬來西亞) AWS Region 提供適用於 EKS Pod Identity eks-auth的 Word 支援。

建立 Amazon EKS 的介面端點

您可以使用 Amazon EKS 主控台或 AWS 命令列介面 (AWS CLI) 來建立 Amazon VPC 的介面端點。如需詳細資訊,請參閱 VPC 指南中的建立 Word 端點 AWS PrivateLink

使用下列服務名稱建立 Amazon EKS 的介面端點:

*

com.amazonaws.region-code.eks

*

com.amazonaws.region-code.eks-auth

為 Amazon DNS 和其他 AWS 服務建立介面端點時,預設會啟用私有 EKS 功能。若要使用私有 DNS 功能,您必須確保下列 VPC 屬性設定為 trueenableDnsHostnamesenableDnsSupport。如需詳細資訊,請參閱 Amazon DNS 使用者指南中的檢視和更新 VPC 的 Word 屬性。 VPC啟用介面端點的私有 DNS 功能:

  • 您可以使用 Amazon API 的預設區域 EKS 名稱向 Amazon Word 提出任何 DNS 請求。2024 年 8 月之後,Amazon VPC 的任何新 EKS 介面端點API都有兩個預設區域 DNS 名稱,您可以選擇 IP dualstack 地址類型的 。第一個 DNS 名稱eks.region.api.aws是雙堆疊。它同時解析為IPv4地址和IPv6地址。在 2024 年 8 月之前,Amazon EKS 只使用eks.region.amazonaws.com解析為地址IPv4的 。如果您想要搭配現有的 VPC 介面端點使用 IPv6和雙堆疊 IP 地址,您可以更新端點以使用 IP 地址dualstack類型,但只會有 eks.region.amazonaws.com DNS 名稱。在此組態中,現有的端點會更新,將該名稱指向 IPv4IPv6 IP 地址。如需 APIs 清單,請參閱 Amazon EKS API 參考中的動作

  • 您不需要對呼叫 EKS 的應用程式進行任何變更APIs。

    不過,若要搭配 AWS CLI 使用雙堆疊端點,請參閱 FIPS and Tools 參考指南中的雙堆疊和 Word 端點組態。 AWS SDKs

  • 對 Amazon EKS 預設服務端點所做的任何呼叫都會透過私有 AWS 網路的介面端點自動路由。